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Onderwerp 

Bewerkersovereenkomsten in de zorg 


Geachte mevrouw Schippers, 

Onlangs heeft de Autoriteit Persoonsgegevens (hierna: Autoriteit) een aantal ziekenhuizen verzocht 
schriftelijk te laten weten of zij met het softwarebedrijf iGuana een bewerkersovereenkomst als bedoeld in 
artikel 14 Wbp hadden gesloten en zo ja, een afschrift hiervan toe te sturen aan de Autoriteit. 

Aanleiding was onder meer de berichtgeving in de media begin dit jaar dat het digitaliseren van medische 
dossiers van Nederlandse ziekenhuizen deels zou worden uitgevoerd door Belgische gedetineerden. 

Op basis van de ontvangen informatie concludeert de Autoriteit dat niet ieder aangeschreven ziekenhuis 
een bewerkersovereenkomst had gesloten. Voor zover er wel bewerkersovereenkomsten waren gesloten, 
voldeden deze bij eerste beschouwing niet (volledig) aan onderstaande minimaal te stellen eisen die 
voortvloeien uit artikel 14 Wbp: 

1. De overeenkomst moet naar zijn aard betrekking hebben op de gegevensverwerking. Het contract 
mag niet betrekking hebben op een vorm van dienstverlening waar de gegevensverwerking slechts 
een uitvloeisel van is. 

2. De verplichtingen moeten over en weer duidelijk zijn neergelegd in de bewerkersovereenkomst. 
Uitgangspunt daarbij is dat de bewerker daadwerkelijk op instructie van de verantwoordelijke kan 
handelen. Onderwerpen zoals de doeleinden van en de middelen voor de verwerking van 
persoonsgegevens, het soort gegevens, de mate van zeggenschap van de bewerker, de te treffen 
technische en organisatorische maatregelen, het gebruik van de gegevens, eventuele verstrekking 
aan derden en de duur van de opslag van de gegevens dienen dan ook in de overeenkomst 
voldoende gedetailleerd te zijn opgenomen. 
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3. De bewerkersovereenkomst dient te voorzien in een uitwerking van de wijze waarop de 
verantwoordelijke toe kan zien op de naleving van de overeengekomen waarborgen, als bedoeld in 
artikel 13 van de Wbp (passende technische en organisatorische maatregelen), zoals bijvoorbeeld 
in de vorm van audits. 

4. De bewerkersovereenkomst dient een geheimhoudingsplicht te bevatten voor de bewerker en zijn 
personeel. Een bepaling opnemen dat de bewerker vertrouwelijk omgaat met persoonsgegevens 
volstaat niet. 

5. Indien van toepassing dient de overeenkomst bepalingen te bevatten over subbewerkerschap. De 
verantwoordelijke dient daarmee uitdrukkelijk te hebben ingestemd. Uit de overeenkomst dient 
dit te blijken. 

De aangeschreven ziekenhuizen zijn door de Autoriteit gemaand om, voor zover nog sprake is van 

uitbesteding van de verwerking van persoonsgegevens aan iGuana, een bewerkersovereenkomst op te 

stellen die minimaal voldoet aan deze eisen. 

De Nederlandse Vereniging van Ziekenhuizen is over het bovenstaande geïnformeerd. 

Ik hoop u hiermee vdldoende te hebben ingelicht. 

Hoogachtend, 

Autoriteit persoonsgegevens, 


Mr. W.B.M. Tomesen 
Vicevoorzitter 
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